Этим летом в Сети появились новости о «русском следе» в хакерской атаке на сервера Демократической партии США. Атака была успешной, и в ее ходе были слиты в сеть гигабайты данных. Это личная переписка, внутренние документы партии, данные членов партии и многое другое. После расследования инцидента стало ясно, что хакеры имели доступ к сети партии в течение года. Директор национальной разведки США Джеймс Клэппер даже заявил, что за атакой стоят хакеры, которые работают в интересах иностранных государств (в основном, подразумевались Россия и Китай).


Но все это лирика. Как недавно оказалось, «русский след» в атаках на демократическую партию США в Иллинойсе был выражен не так уж и активно. А один из основных агрументов в пользу «следа» оказалось использование злоумышленниками наших серверов. Мы — российская компания, и, видимо, американцы решили, что если злоумышленники воспользовались нашими серверами, то они тоже из России.

Насколько мы знаем, злоумышленники работали не только с нашими серверами, но внимание СМИ привлекло именно то, что задействована в ходе атаки оказалась российская компания. Самое интересное то, что до 15 сентября на сервера, которые использовали киберпреступники, не приходили жалобы и обращения. Никто не предпринимал никаких попыток изъять сервера или хотя бы попробовать связаться с нами. После того, как мы узнали о проблеме, сервера сразу же были отключены от Сети.

Мы провели тщательное расследование. Анализ внутренних данных позволяет нам говорить о том, что российские спецслужбы никаким образом непричастны к атаке (ну или разведчики хорошо замаскировались). Дело в том, что у нас сохранились все логи досупа к адмиистративной панели управления серверами после зачистки ПО, которое использовали хакеры. Мы проанализировали логи и получили список из примерно 10 различных IP адресов злоумышленников. Ни один из этих IP не является российским.

«Серверы работали с мая 2016 года, т, е несколько месяцев. Сегодня после статьи, были отключены. Никаких жалоб за это время мы не получали, никаких запросов от Нидерландской полиции не было. Логи авторизаций показывают, что входы были через IP принаждлежащим странам Скандинавии (Норвегия, Швеция) и Европейского Союза (Италия), IP Российских компаний мы не нашли», — говорит Владимир Фоменко, глава King Servers.

Плюс ко всему, злоумышленники обращались в нашу службу поддержки на ломаном английском языке. Со стороны «русских разведчиков» было бы довольно странно так себя вести. Плюс ко всему, те, кто арендовал наши серверы, остались должны 290 долларов США за услуги аренды серверов. Думаем, что логичным шагом будет выслать счет президенту той страны, которую объявят виновной в проведении атаки :)

Оплата за серверы производилась при помощи довольно известной в России полу-анонимной платежной системы. В России она известна своим сотрудничеством с американскими органами безопасности. Оба арендуемых злоумышленниками сервера, скорее всего, контролировались одним лицом. Дело в том, что IP входа совпадает и там, и там (на момент входа в систему). Этот человек (или команда) не слишком хорошо знают английский, что подтверждается обращениями в тикет. Плюс ко всему, при регистрации этот человек использовал ник Robin Good (а не Hood).

Сейчас у нас есть все материалы расследования, копии серверов и лог-файлов, плюс переписку. Если потребуется, можем предоставить эти данные правоохранительным органам и СМИ в соответствии с законодательством.

Мы хотели бы подчеркнуть, что считаем своим долгом донести данную информацию до общественности и отдельно благодарим пресс-службу компании ChronoPay, любезно согласившуюся оказать содействие в данном вопросе.
Поделиться с друзьями
-->

Комментарии (23)


  1. ildarz
    15.09.2016 17:44
    +9

    Плюс ко всему, злоумышленники обращались в нашу службу поддержки на ломаном английском языке. Со стороны «русских разведчиков» было бы довольно странно так себя вести.


    А как должны были вести себя русские разведчики? :) Общаться на идеальном английском, лондонский диалект? На русском? Или там на украинском, чтобы уж наверняка со следа сбить?


    1. Dimd13
      15.09.2016 20:42

      Еще никогда Штирлиц не был так близко к провалу.


    1. paratrooper5730
      16.09.2016 10:51

      просто прийти в офис хостера с паяльником ксивой и сказать, что они тут ни при чем, честно-честно


  1. x893
    15.09.2016 18:03

    Вы уверены, что ваши сервера были первыми в цепочке соединения?
    Полученные IP адреса кому принадлежат?
    Есть диаграмма (и есть это другой провайдер) соединений?
    Обычно используется 3/4G (со сменным IMEI) для первого соединения и 5-6 провайдеров до выхода на цель. Было бы неплохо (если есть данные) нарисовать полную картину.


    1. YourChief
      16.09.2016 02:13

      Это они Вам рассказали, как они обычно делают и сколько «провайдеров» до выхода на цель?


      1. x893
        16.09.2016 02:52

        Каждый раз по разному. Может есть такие данные — вот и спросил. «Они» мне ничего не говорили.


  1. Dimd13
    15.09.2016 18:53

    Ник пользователя без условно говорит о том насколько хорошо он дружит с иностранными языками.


  1. AstorS1
    15.09.2016 23:04

    Начинаю уставать от представления нашей страны в качестве империи интернет-зла. Ещё пример


    1. vc9ufi
      16.09.2016 10:12
      -1

      Начинаю уставать от представления представления нашей страны в качестве империи интернет-зла


  1. alexsocute
    16.09.2016 10:11

    Может кто подскажет из лингвистов, Robin Hood читается/переводится у нас как Робин Гуд. Вопрос в том, в каких языках он еще так читается/переводится. С буквой «Г».
    Потому что Robin Good очень указывает на русское коверканное слово.


  1. Vlkam1
    16.09.2016 10:12

    Написание ник Robin Good (а не Hood)


    Вроде бы это чисто русскоязычная ошибка?


    1. ildarz
      16.09.2016 11:51

      Я думаю, не обязательно именно русскоязычная, но, как минимум, намекает, что родной алфавит автора — не латиница. С другой стороны — а вдруг человек не лажанулся, а просто подумал над заметанием следов? We need to go deeper. :D


      1. idle
        16.09.2016 12:38

        Почему не латиница? Вот, например, нашёлся RobinGood в Твиттере — некто итальянец Луиджи.


        1. gricom
          16.09.2016 12:48
          -1

          я не очень понимаю, каким образом люди, причастные к stuxnet, имеют право возмущаться, что их взломали. Это политическая конкуренция, здесь нет правил, кроме права сильного (к сожалению это именно так)


          1. idle
            16.09.2016 12:57

            Дэк это они не возмущаются, а пытаются использовать ситуацию, и при этом не только не проиграть, но и поиметь максимальную выгоду на антироссийской истерии.


        1. ildarz
          16.09.2016 12:50

          Просто предположение — на языках, использующих латиницу, написание с большей вероятностью будет верным. Но если только это ошибка, а не сознательное искажение, например. Ясное дело, что на самом деле в качестве отдельно взятого факта это не говорит вообще ни о чем. :))


          1. LoadRunner
            16.09.2016 16:50

            А почему искажение? Может он изначально хотел быть «Хорошим Робином»? Ну или скаламбурил чуточку.

            P. S. А я хотел себе ник LodeRunner, но мне тогда было 17 лет и я забыл правильное написание.


  1. SkyMind
    16.09.2016 10:12
    +1

    Тут как в сказке о мальчике и волках — никто уже просто не поверит очередному «это не мы», даже если вдруг утверждение окажется правдой. Что, на мой лично взгляд, крайне маловероятно.


    1. extempl
      16.09.2016 14:01

      Согласен, причём, вероятность того, что российским хостингом будет пользоваться иностранец субъективно меньше, чем местный через впн какой-нибудь.


  1. TimsTims
    16.09.2016 13:13

    1) Робин Гуд — так только на русском и говорят)
    2) «Ломанный английский» — тоже вполне подходит под наших. Очень странно видеть европейца, который если и умеет говорить на английском, то делает это более-менее сносно.


    1. TimsTims
      16.09.2016 13:48

      > так только на русском и говорят
      упс, в комментарии выше привели контр-аргументы


      1. Dimd13
        16.09.2016 18:12

        tor, hideme, hidemyass… не, не слышал


  1. Vlad_fox
    16.09.2016 15:24
    +1

    Анализ внутренних данных позволяет нам говорить о том, что российские спецслужбы никаким образом непричастны к атаке… Ни один из этих IP не является российским.

    формально логически такой вывод необоснованный.
    что мешает спецслужбам (неважно какой страны) использовать IP другой страны?
    опять же, есть основания думать, что компетенция спецов, которые занимались взломом такого уровня, позволяет сделать последующий «Анализ внутренних данных» спецами провайдера мягко говоря малополезным.
    ну и наконец заявления Директора национальной разведки США наверняка основаны на куда большем количестве фактов, чем рассмотрены в данной статье. Эти люди говорят очень редко и обычно 7 раз отмеряют чем раз отрезать…